Чтобы отслеживать сетевой трафик, например анализ поведения пользователей в сети, мониторинг аномального трафика и мониторинг сетевых приложений, вам необходимо собирать сетевой трафик. Регистрация сетевого трафика может быть неточной. По сути, вам необходимо скопировать текущий сетевой трафик и отправить его на устройство мониторинга. Сетевой разветвитель, также известный как Network TAP. Он просто выполняет эту работу. Давайте посмотрим на определение Network TAP:
I. Сетевой перехватчик — это аппаратное устройство, которое обеспечивает доступ к данным, проходящим через компьютерную сеть (из Википедии).
II. АСетевой кран, также известный как порт тестового доступа, представляет собой аппаратное устройство, которое подключается непосредственно к сетевому кабелю и отправляет часть сетевого сообщения на другие устройства. Сетевые разветвители обычно используются в системах обнаружения сетевых вторжений (IPS), сетевых детекторах и профилировщиках. Репликация связи с сетевыми устройствами теперь обычно осуществляется с помощью анализатора портов коммутации (span port), также известного как зеркалирование портов при коммутации сетей.
III. Сетевые перехватчики используются для создания постоянных портов доступа для пассивного мониторинга. Ответвитель или тестовый порт доступа можно настроить между любыми двумя сетевыми устройствами, такими как коммутаторы, маршрутизаторы и межсетевые экраны. Он может функционировать как порт доступа для устройства мониторинга, используемого для сбора оперативных данных, включая систему обнаружения вторжений, систему предотвращения вторжений, развернутую в пассивном режиме, анализаторы протоколов и инструменты удаленного мониторинга. (из NetOptics).
Из трех приведенных выше определений мы можем выделить несколько характеристик Network TAP: аппаратное, встроенное, прозрачное.
Вот взгляд на эти особенности:
1. Это независимая аппаратная часть, и благодаря этому она не оказывает никакого влияния на нагрузку существующих сетевых устройств, что имеет большие преимущества перед зеркалированием портов.
2. Это встроенное устройство. Проще говоря, его нужно подключить к сети, и это понятно. Однако это также имеет недостаток, заключающийся в создании точки отказа, а поскольку это онлайн-устройство, текущую сеть необходимо прерывать во время развертывания, в зависимости от того, где она развернута.
3. Прозрачный относится к указателю на текущую сеть. Сети доступа после шунта, текущая сеть для всего оборудования, не имеет никакого эффекта, для них полностью прозрачна, конечно, она также содержит сетевой шунт, отправляющий трафик для мониторинга оборудования, устройство мониторинга сети прозрачно, это как если вы находитесь в новом доступе к новой электрической розетке, для других имеющихся приборов, ничего не происходит, в том числе и тогда, когда вы наконец вынимаете прибор и вдруг вспоминаете стихотворение "Маши рукавом и не тучи"......
Многие люди знакомы с зеркалированием портов. Да, зеркалирование портов также может достичь того же эффекта. Вот сравнение между сетевыми ответвителями/дивертерами и зеркалированием портов:
1. Поскольку порт коммутатора сам будет фильтровать некоторые ошибочные пакеты и пакеты слишком маленького размера, зеркалирование портов не может гарантировать получение всего трафика. Однако шунтёр обеспечивает целостность данных, поскольку они полностью «копируются» на физическом уровне.
2. Что касается производительности в реальном времени, на некоторых коммутаторах начального уровня зеркалирование портов может приводить к задержкам при копировании трафика на зеркалируемые порты, а также при копировании портов 10/100 м на порты GIGA.
3. Зеркалирование портов требует, чтобы пропускная способность зеркального порта была больше или равна сумме пропускных способностей всех зеркалируемых портов. Однако этому требованию могут соответствовать не все коммутаторы.
4. На коммутаторе необходимо настроить зеркалирование портов. После того, как области, подлежащие мониторингу, необходимо отрегулировать, необходимо перенастроить коммутатор.
Время публикации: 05 августа 2022 г.